マイクロソフト セキュリティ情報 MS03-042

技術的な説明 :

マイクロソフトは、 2003 年 10 月 29 日 （米国日付） このセキュリティ情報を再リリースし、Windows 2000 の更新プログラムのアップデート版が利用可能になったことをお知らせいたしました。このアップデート版の更新プログラムにより、マイクロソフト サポート技術情報 830846 で説明されいる、オリジナルの更新プログラム （2003 年 10 月 16 日リリース） により発生した Debug Programs (SeDebugPrivilege) のユーザー権利の問題が修正されます。この問題は、このセキュリティ情報で説明されているセキュリティ上の脆弱性には関係ありません。このセキュリティ更新プログラムを適用済みの場合、このアップデートをインストールする必要はありません。

Microsoft ローカル トラブルシュータ ActiveX コントロールにセキュリティ上の脆弱性が存在します。この脆弱性は、ActiveX コントロール (Tshoot.ocx) に攻撃者がユーザーのコンピュータ上で任意のコードを実行する可能性があるバッファ オーバーランが含まれるために起こります。このコントロールは、「スクリプトを実行しても安全」だとマークされていますが、攻撃者は、この ActiveX コントロールを参照するよう特別な細工をした HTML ページをユーザーが表示するように誘導することにより、この脆弱性を悪用する可能性があります。Microsoft ローカル トラブルシュータ ActiveX コントロールは Windows 2000 オペレーティング システムの一部として規定でインストールされます。

この問題を悪用するには、攻撃者は特別な細工をした HTML ベースの電子メールを作成し、それをユーザーに送信することが必要条件となります。または、攻撃者はこの脆弱性が悪用されるようにデザインされた Web ページが含まれる悪質な Web サイトをホストすることが必要条件となります。

攻撃者はこの脆弱性により、最悪の場合、ユーザーのコンピュータに悪質なコードを読み込み、それを実行する可能性があります。そのようなコードはユーザーのコンテキストで実行される可能性があります。そのため、そのコードにより実行できる操作は、そのコンピュータ上で正規のユーザーが実行できる操作に限定されます。そのユーザー アカウントのすべての制限により、攻撃者が実行する任意のコードによる操作も制限される可能性があります。

HTML 形式の電子メールによる攻撃のリスクは、以下の条件が満たされる場合、大幅に低減する可能性があります。

• マイクロソフト セキュリティ情報 MS03-040 に含まれる更新プログラムを適用済みの場合
• Internet Explorer 6 またはそれ以降のバージョンを使用している場合
• Microsoft Outlook 電子メール セキュリティ アップデートまたは Outlook Express 6.0 およびそれ以降のバージョン、または Microsoft Outlook 2000 またはそれ以降のバージョンを既定の構成で使用している場合

問題を緩和する要素 :

• Web ベースの攻撃は、攻撃者がこれらの脆弱性を悪用する Web ページを含む Web サイトを作成した場合にのみ行われる可能性があります。攻撃者は、ユーザーをこれらの悪質な Web サイトに強制的に訪問させることはできません。その代わり、攻撃者がこの脆弱性を悪用するには、通常電子メール メッセージ中の攻撃者のサイトに移動するリンクをユーザーにクリックさせることにより、ユーザーをそれらのサイトに誘導することが必要条件となります。
• 既定で、Outlook Express 6.0 および Outlook 2002 では、HTML 形式のメールは制限付きサイト ゾーンで開かれます。また、Outlook 98 および 2000 では、Outlook 電子メール セキュリティ アップデートがインストールされている場合、HTML 形式のメールは制限付きサイト ゾーンで開かれます。これらの製品のいずれかを使用しているお客様は、そのような電子メールのリンクをクリックしない限り、この脆弱性が悪用される電子メールの攻撃による危険性は低減します。
• 攻撃者のコードは、ログオンしたユーザーと同じアクセス権限でのみ実行される可能性があります。したがって、攻撃者がこの脆弱性によって取得する可能性がある権限は、ユーザーに与えられている権限によって異なります。ユーザー アカウントのすべての制限により、この脆弱性によって実行されるコードによって行われる操作も制限されます。

深刻度 :

上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。

脆弱性識別番号 :
CAN-2003-0662

マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もあります。その場合、下記に記します。

• インターネットゾーンおよびイントラネットゾーンで ActiveX コントロールが実行される前に、確認のメッセージが表示される設定
  インターネット セキュリティ ゾーンの設定で ActiveX コンポーネントが実行される前に確認のメッセージが表示されるように変更し、この脆弱性から保護することができます。この設定を行うには、以下のステップに従ってください。
  1. Internet Explorer で、[ツール] － [インターネットオプション] を選択します。
  2. [セキュリティ] タブをクリックします。
  3. [インターネット] アイコンをクリックし、[レベルのカスタマイズ] ボタンをクリックします。
  4. [Active X コントロールとプラグインの実行] と記載されている部分までスクロールします。
  5. [Active X コントロールとプラグインの実行] と記載されている部分までスクロールし、[ダイアログを表示する] のチェックをオンにします。
  6. [OK] ボタンをクリックします。
  7. [イントラネット] アイコンをクリックし、[レベルのカスタマイズ] ボタンをクリックします。
  8. [Active X コントロールとプラグインの実行] と記載されている部分までスクロールします。
  9. [Active X コントロールとプラグインの実行] と記載されている部分までスクロールし、[ダイアログを表示する] のチェックをオンにします。
  10. [OK] ボタンをクリックし、再度 [OK] ボタンをクリックし、Internet Explorer に戻ります。

  回避策の影響 :

  インターネット上の多くの Web サイトでは、より多くの機能を使用するために ActiveX が使用されています、たとえば、オンラインの電子商取引のサイトまたは銀行のサイトでは、ActiveX コントロールが使用され、メニュー、オーダー フォーム、または預金取引明細書までもが提供されています。ActiveX コントロールの実行の前の、確認のメッセージが表示は、すべてのインターネット サイトおよびイントラネット サイトに共通の設定です。この回避策を有効にすると、頻繁に ActiveX コントロールの実行の確認のメッセージが表示されることになります。確認のメッセージが表示されるごとに、訪問しているサイトが信頼できると思う場合、[はい] をクリックし、ActiveX コンポーネントを実行します。すべてのサイトで、確認のメッセージが表示されるのを避けたい場合は、次に記載する 「Web サイトを信頼する Web サイトのみに制限する」 回避策を使用することができます。

• Web サイトを信頼する Web サイトのみに制限する

  インターネット ゾーンおよびイントラネット ゾーンで ActiveX を実行する前に、確認のダイアログが表示されるように変更した後、信頼する Web サイトを Internet Explorer の信頼済みサイトに追加することができます。これにより、信頼されないサイトへのこの攻撃から保護され、信頼する Web サイトを今までと同様に引き続き使用することができます。マイクロソフトは信頼するサイトのみを信頼済みサイト ゾーンに追加することを推奨します。

  サイトを信頼済みサイト ゾーンに追加するためには、以下のステップに従ってください。

  1. Internet Explorer で、[ツール] － [インターネットオプション] を選択します。[セキュリティ] タブをクリックします。
  2. [Web コンテンツのゾーンを選択してセキュリティのレベルを選択する] と記載されているボックスで、[信頼済みサイト] をクリックし、次に [サイト] ボタンをクリックします。
  3. 暗号化されたチャネルを必要としないサイトを追加したい場合は、このゾーンのチェック ボックスのすべてのサイトで、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] のチェック ボックスをオフにします。
  4. [次の Web サイトをゾーンに追加する] と記載されたボックスに信頼するサイトの URL をタイプし、次に [追加] ボタンをクリックします。信頼済みサイト ゾーンに追加したいサイトごとに、この操作を繰り返します。
  5. [OK] ボタンを 2 度クリックし、変更を適用させ、Internet Explorer に戻ります。信頼するすべてのサイトを追加し、そのコンピュータ上で不正な操作は行われないようにしてください。特に追加する必要があるサイトとして、http://update.microsoft.com/microsoftupdate/ があります。これは、更新プログラムがホストされているサイトで、更新プログラムのインストールに ActiveX コントロールの使用が必要です。

  回避策の影響 :

  信頼済みサイト ゾーンに設定していないサイトで ActiveX コントロールを適切に機能する必要がある場合、それらの機能が使用できなくなる場合があります。サイトを信頼済みサイト ゾーンに追加すると、それらのサイトで適切な機能が必要な ActiveX コントロールがダウンロードされます。しかし、信頼する Web サイトのみを信頼済みサイト ゾーンに追加する必要があります。

• Outlook 2000 SP1 またはそれ以前のバージョンを使用している場合、Outlook 電子メール セキュリティ アップデートをインストールしてください。

  Outlook 電子メール セキュリティ アップデートにより、Outlook 98 および 2000 で、既定で HTML 形式のメールが制限付きサイト ゾーンで開かれるようになります。Outlook Express 6.0 および Outlook 2002 では、既定で HTML 形式のメールが制限付きサイト ゾーンで開かれます。これらの製品のいずれかを使用しているお客様は、電子メール中の悪質なリンクをクリックしない限り、この脆弱性が悪用される電子メールの攻撃による危険は低減します。

• Outlook 2002 または Outlook Express 6.0SP1 またはそれ以降のバージョンを使用している場合、HTML 形式の電子メールによる攻撃から身を守るためには、プレーンテキスト形式で電子メールを読み取ってください。

  Service Pack 1 またはそれ以降のバージョンを適用した Microsoft Outlook 2002 および Outlook Express 6.0 のユーザーは、デジタル署名されていない電子メールまたは暗号化されていない電子メール メッセージをすべてプレーン テキスト形式のみで表示する機能を有効にすることができます。

  デジタル署名された電子メールまたは暗号化された電子メール メッセージは、この設定による影響は受けず、元のフォーマットで読み取ることができます。Outlook 2002 でこの設定を有効にするための情報は、以下のサポート技術情報をご覧ください。

  http://support.microsoft.com/kb/307594

  Outlook Express 6.0 でこの設定を有効にするための情報は、以下のサポート技術情報をご覧ください。

  http://support.microsoft.com/kb/291387

  回避策の影響 :

  プレーン テキスト形式で表示した電子メールには、画像、特殊フォント、動画、またはほかのリッチ コンテンツを含むことができません。また、以下の制限が加わります。

  • 変更がプレビュー ペインに適用され、メッセージが開かれます。
  • 画像は、紛失を避けるために添付ファイルとなります。
  • メッセージは、メール ストアでは依然としてリッチ テキストまたは HTML 形式となっているため、オブジェクト モデル （カスタム コード ソリューション） は、予想外の動作が実行されます。

このセキュリティ情報は、なぜ再リリースされたのですか?

このセキュリティ情報および関連する更新プログラムのリリース後、この更新プログラムの Windows 2000 のバージョンに問題が確認されました。この問題は、このセキュリティ情報で説明されているセキュリティ上の脆弱性には関係ありません。このセキュリティ更新プログラムを適用済みの場合、このアップデートをインストールする必要はありません。

マイクロソフトは、 2003 年 10 月 29 日 （米国日付） このセキュリティ情報を再リリースし、Windows 2000 の更新プログラムのアップデート版が利用可能になったことをお知らせいたしました。このアップデート版の更新プログラムにより、マイクロソフト サポート技術情報 830846 で説明されている、オリジナルの更新プログラム （2003 年 10 月 16 日リリース） により発生した Debug Programs (SeDebugPrivilege) のユーザー権利の問題が修正されます。この問題は、このセキュリティ情報で説明されているセキュリティ上の脆弱性には関係ありません。このセキュリティ更新プログラムを適用済みの場合、このアップデートをインストールする必要はありません。

どのようなことが起こりますか?

これはバッファ オーバーランの脆弱性です。攻撃者はこの脆弱性を悪用し、最悪の場合、ユーザーのコンピュータで任意のコードを実行する可能性があります。これにより、攻撃者は正当なユーザーに可能なすべての操作を行うことができる可能性があります。この操作には、データの作成、変更、削除などが含まれます。これには、コンピュータの再構成やハードディスクの再フォーマットなども含まれます。

何が原因で起こりますか?

Microsoft Local Troubleshooter ActiveX コントロール (Tshoot.ocx) が特定の状況でパラメータを正しく検証しないため、この脆弱性が起こります。ユーザーに不正な Web ページを表示するよう誘導する、またはユーザーに不正な電子メールを送ることにより、攻撃者は ActiveX コントロールを異常終了させ、攻撃者の任意のコードを実行する可能性があります。

ActiveX コントロールとは何ですか?

ActiveX® (英語情報) とは、開発者にコントロールと呼ばれる小さなプログラムを書くことを可能にする技術です。Web ページ、Visual Basic® プログラムおよびそのほかのアプリケーションがコントロールを使用することができます。ActiveX コントロールは関連するタスクのいつくかを実行し、さらに複雑なプログラム内の基礎的要素として使用されます。

開発者はカスタム Active X コントロールを開発することができます。開発者がカスタム ActiveX コントロールを開発する場合、そのコントロールは各ユーザーに配布される必要があります。マイクロソフトおよび多くのサードパーティソフトウェア ベンダーは ActiveX コントロールを各々の製品に含め、これらの製品が容易に拡張できるようにします。この場合の脆弱性は、既定でオペレーティングシステムの一部としてインストールされる ActiveX コントロールに含まれます。

どの ActiveX コントロールに脆弱性が存在しますか?

Microsoft Windows ヘルプ システムは Windows の既定のコンポーネントです。このヘルプ システムにはドキュメントと、対話的なトラブルシューティングウィザードの機能があり、一般的な問題をユーザーが診断するのに役に立ちます。Windows 2000 では、Microsoft Windows トラブル シューティングとヘルプ システムは、Microsoft Local Troubleshooter (Tshoot.ocx) と呼ばれる ActiveX コントロールを使用します。Microsoft Local Troubleshooter は、ローカル コンピュータと対話し、問題の診断の手助けを行ないます。この ActiveX コントロールは、Microsoft Windows トラブルシューティングとヘルプ システムによってのみ使用されるようデザインされました。

ActiveX コントロールの何が問題になっていますか?

影響を受ける ActiveX コントロールにはバッファ オーバーランが存在します。インストール後、そのコントロールが "安全なスクリプト" であるとマークされるため、Internet Explorer は、たとえインターネットセキュリティ ゾーン内であってもユーザーの操作なしでそのコントロールを読み込むことができます。攻撃者はユーザーを不正な Web ページを表示するよう誘導することにより、任意のコードの実行が可能になり、ActiveX コントロールが異常終了する可能性があります。

Internet Explorer のセキュリティゾーンとは何ですか?

Internet Explorer のセキュリティ ゾーンとは、オンライン コンテンツをカテゴリ、またはその信頼度に基づいたゾーンに分類するシステムです。特定の Web ドメインは、各ドメインのコンテンツがどの程度信頼されているかにより、ゾーンに割り当てられます。そしてゾーンは Web コンテンツの権限をそのゾーンの設定に基づき制限します。

既定で、ほとんどのインターネット ドメインは、スクリプトやそのほかのアクティブなコードがローカルマシンのリソースにアクセスすることを防ぐ設定を持つ、インターネット ゾーンの一部として取り扱われます。一方、マイ コンピュータ ゾーンはさらに制限の少ないゾーンで、コンテンツがローカルコンピュータのコンテンツへのアクセスや変更を行うことができます。既定で、ローカル コンピュータに保存されているファイルはマイコンピュータ ゾーンで実行されます。

この脆弱性により、攻撃者は何ができる可能性がありますか?

この脆弱性により、最悪の場合、攻撃者はユーザーのコンピュータ上で任意のコードを実行できる可能性があります。このため、攻撃者は正規のユーザーと同等の動作を行うことが可能になります。これにより、データの作成、変更、または削除、コンピュータの再構成、ハードディスクの再フォーマットを実行する可能性もあります。

攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?

この脆弱性が悪用されるには、不正な HTML ベースの電子メールを作成してユーザーに送信することが攻撃者にとっての必要条件となります。または、この脆弱性に対する攻撃を意図した Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。

HTML 形式の電子メールによる攻撃の危険性を緩和する手助けとなる要素はありますか?

HTML 形式の電子メールによる攻撃の危険性は、次の条件が当てはまる場合、大幅に低減されます。

• マイクロソフト セキュリティ情報 MS03-040 で提供された更新プログラムを適用している
• Internet Explorer 6 またはそれ以降を使用している
• Microsoft Outlook 電子メール セキュリティ アップデート、Microsoft Outlook Express 6 またはそれ以降、Microsoft Outlook 2000 または既定の構成のそれ以降を使用している

更新プログラムは何を修正しますか?

この更新プログラムは、ActiveX コントロールがすべてのパラメータを正しく検証するようにして、脆弱性を排除します。